VIKEnut'

Pt

РусскийDeutschEspañol

Tema escuro

Write

Tema escuro

Pt

РусскийDeutschEspañol
sqlado.netvb.netsql-injectionc#

Como adicionar entradas fornecidas pelo usuário a uma instrução SQ

Estou tentando criar uma instrução SQL usando dados fornecidos pelo usuário. Eu uso código semelhante a este em c #:

var sql = "INSERT INTO myTable (myField1, myField2) " +
          "VALUES ('" + someVariable + "', '" + someTextBox.Text + "');";

var cmd = new SqlCommand(sql, myDbConnection);
cmd.ExecuteNonQuery();

e isso em VB.NET

Dim sql = "INSERT INTO myTable (myField1, myField2) " &
          "VALUES ('" & someVariable & "', '" & someTextBox.Text & "');"

Dim cmd As New SqlCommand(sql, myDbConnection)
cmd.ExecuteNonQuery()

Contudo

isso falha quando a entrada do usuário contém aspas simples (por exemplo,O'Brien), Não consigo obter o formato correto ao inserir valores DateTime es pessoas continuam me dizendo que não devo fazer isso por causa da "injeção SQL"

Como faço "do jeito certo"?

questionAnswers(2)

yourAnswerToTheQuestion

Perguntas populares

0 a resposta

SQLAlchemy - somente um resultado retornado quando count () diz que há mais

0 a resposta

Heisenbug: programa WinApi falha em alguns computadores

0 a resposta

De onde o "usuário" vem no convertAndSendToUser funciona no SockJS + Spring Websocket?

0 a resposta

Como excluir nomes de classes específicos em querySelectorAll ()?

0 a resposta

Classes estáticas de TypeScript